Уничтожение персональных данных в 2025 году: новые процедуры и документальное оформление

Уничтожение персональных данных — не менее важный процесс, чем их обработка. С 1 сентября 2025 года ужесточаются требования к процедуре уничтожения и ее документальному оформлению. Отсутствие акта об уничтожении приравнивается к несоблюдению требований 152-ФЗ и грозит штрафом до 1 млн рублей.

Реальный кейс: Компания хранила данные уволенных сотрудников 10 лет без уничтожения. При проверке Роскомнадзор оштрафовал компанию на 600 000 рублей за несоблюдение сроков хранения и отсутствие актов об уничтожении.

Основания для уничтожения ПДн:

1. Истечение сроков обработки — достижение целей обработки

2. Отзыв согласия субъектом — при отсутствии иных оснований

3. Незаконность обработки — выявление нарушений

4. Ликвидация оператора — прекращение деятельности

5. Исполнение предписания регулятора — по требованию РКН

Способы уничтожения в 2025 году:

Электронные данные:

• Физическое уничтожение носителей

• Программное затирание (не менее 7 проходов)

• Криптографическое стирание (уничтожение ключей)

• Деструкция магнитных поверхностей

Бумажные носители:

• Шредирование (перекрестное, частицы не более 2 мм)

• Сжигание с составлением акта

• Химическое растворение

Образец акта об уничтожении:

"АКТ № ___
об уничтожении персональных данных

г. Москва «01» сентября 2025 г.

Комиссия в составе:
Председатель: Иванов И.И. — ответственный за ПДн
Члены: Петров П.П. — системный администратор
Сидоров С.С. — специалист по безопасности

Составила настоящий акт о том, что «01» сентября 2025 г. были уничтожены следующие персональные данные:

1. Данные бывших сотрудников за 2015-2020 годы

2. База данных резервных копий от 01.01.2020

Способ уничтожения: шредирование бумажных носителей, программное затирание электронных носителей.

Подписи членов комиссии: _______"

Новые требования к уничтожению с 2025 года:

1. Обязательное протоколирование — фиксация времени, способа, ответственных

2. Уничтожение у обработчиков — контроль за уничтожением у всех контрагентов

3. Уведомление субъектов — по их требованию о факте уничтожения

4. Регулярность процедуры — не реже 1 раза в квартал

5. Аудит эффективности — проверка невозможности восстановления

Чек-лист процедуры уничтожения:

• Определены данные для уничтожения

• Проверено отсутствие оснований для дальнейшего хранения

• Создана комиссия по уничтожению

• Выбран способ уничтожения

• Процесс задокументирован

• Составлен акт об уничтожении

• Уведомлены заинтересованные лица

• Данные удалены из систем учета

Кейс: Организация регулярного уничтожения в крупной компании

Проблема: Накопление данных за 15 лет, отсутствие системы уничтожения
Решение:

1. Провели инвентаризацию всех данных

2. Установили четкие сроки хранения по каждому типу данных

3. Внедрили систему автоматического уведомления о истечении сроков

4. Создали постоянно действующую комиссию по уничтожению

5. Настроили регулярный аудит

Результат: Снижение объема хранимых данных на 70%, соответствие требованиям РКН.

FAQ по уничтожению ПДн:

Вопрос: Нужно ли уничтожать обезличенные данные?
Ответ: Нет, на обезличенные данные требования об уничтожении не распространяются.

Вопрос: Как уничтожить данные в облачных сервисах?
Ответ: Требовать от провайдера сертификат об уничтожении или использовать сервисы с функцией гарантированного удаления.

Вопрос: Что делать с архивными копиями?
Ответ: Уничтожать одновременно с основными данными или обеспечить их изоляцию и последующее уничтожение.

Наша услуга "Организация процесса уничтожения ПДн" включает:

• Разработку регламентов и процедур

• Проведение инвентаризации данных

• Обучение сотрудников

• Сопровождение процесса уничтожения

• Подготовку отчетности для РКН